Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


  

Тестируем межсетевые экраны для Web-приложений

Джеффри Х. Рубин, Рэйвинд Бадхайрайа

Межсетевые экраны для Web-приложений блокируют скрытые атаки на уровне 7 модели OSI. Мы протестировали четыре таких устройства. Они работали прекрасно, но всех своих соперников обошел продукт SecureSphere компании Imperva.

Думаете, что знаете, какие Web-сайты работают на ваших Web-серверах? Мы тоже так считали. А когда приступили к тестированию межсетевых экранов (МЭ) для Web-приложений, обнаружили запросы к нераспознанному нами сайту, который в придачу ко всему оказался еще и уязвимым. Мы решили, что один из производителей оставил на своем тестируемом нами устройстве старые данные, однако все они, как один, заявили, что не делали этого. Дав команду NSLOOKUP, мы с удивлением обнаружили, что один из наших программистов запустил некоммерческий Web-сайт на нашем сервере разработки приложений, вот она - разработка сайтов не выходя из дома.

Положитесь на наш опыт. Если вы хотите точно знать, что происходит на ваших Web-серверах, то, купив мэ для Web-приложений (Web Application Firewall — WAF), вы не пожалеете ни об одном затраченном на него центе. Такой реализуемый в виде ПО или соответствующего устройства МЭ работает на прикладном уровне, осуществляя глубокий контроль трафика Web-приложений и пресекая ставшие возможными вследствие ошибок программирования атаки.

Мы предложили производителям МЭ для Web-приложений прислать нам свои устройства для их испытания в нашу лабораторию Real-World Labs Сиракузского университета, оговорив, что продукты должны “уметь” контролировать трафик HTTP и на прикладном уровне обнаруживать известные Web-атаки, включая SQL-инъекции, переполнение буфера, манипуляции с заполнением форм, перехват сеанса связи, переход по директориям и захват браузера (forceful browsing), и принимать решения по их пресечению.

Нашим критериям тестирования соответствовали продукты компаний Breach Security, Citrix Systems, F5 Networks, Imperva, NetContinuum и Protegrity, которые согласились принять участие в тестировании. Однако Citrix спустя некоторое время отказалась от испытаний, сославшись на отсутствие необходимых технических ресурсов. Что касается устройства Protegrity, то после предварительного ознакомления с ним мы порекомендовали производителю отказаться от тестирования в связи с тем, что в его утилите разработки правил и интерфейсе средств генерации отчетов отсутствовал необходимый уровень детализации политики и представления информации. Во время пробных тестов (в компании Protegrity вместе с ее инженерами) устройство постоянно блокировало трафик одного сайта с разрешенным URL-адресом. При этом журналы регистрации событий не давали никаких объяснений на этот счет. На разрешение этой проблемы представители компании потратили около двух часов — и все безрезультатно.

Великолепная четверка

В конце концов у нас осталось всего четыре устройства, и все они произвели на нас весьма сильное впечатление. В каждом из них реализован несколько отличный от остальных подход к защите Web-приложений. Устройство BreachGate работает в режиме консольного (офлайн) включения (т. е. за пределами пути передачи трафика) и подключается к Web-серверу посредством концентратора или зеркального порта коммутатора. В компании Breach утверждают, что при таком способе включения устройство не станет причиной отказа или задержки передачи трафика; правда, в среде с незначительной задержкой, поскольку трафик через устройство не проходит, не гарантируется его (трафика) блокирование в случае обнаружения атаки.

Устройство SecureSphere компании Imperva работает в режиме моста; мы разместили его непосредственно перед нашим Web-сервером и пропускали через него весь трафик. Продукт SecureSphere прост в конфигурировании, но он вполне способен стать точкой отказа или вызвать снижение производительности Web-сервиса. Хотя устройства NC-1100 AF компании NetContinuum и Big-IP Application Security Module компании F5 Networks могут работать в нескольких режимах, для тестирования мы сконфигурировали их в качестве реверсивных серверов-посредников. Это наиболее безопасный способ их использования и, как сказали нам представители их производителей, самый распространенный. В данном режиме устройство WAF действует как посредник между клиентским браузером и Web-сервером. Эти устройства были не столь просты в конфигурировании и вносили заметную задержку, однако компенсацией нам послужила обеспечиваемая ими достаточно высокая информационная безопасность (дополнительную информацию по конфигурированию режимов работы устройств WAF можно найти в статье “Межсетевые экраны для Web-приложений излечивают страх” в этом же номере журнала. — Прим. ред.). Обратите внимание на то, что NC-1100 AF был единственным среди протестированных нами экранов, который не имел опции пропускания трафика при отказе (fail open).

Одни продукты “ведут свое происхождение” от обычных мэ, тогда как другие являются результатом эволюции устройств обнаружения вторжений. BreachGate и SecureSphere разрабатывались с нуля как устройства WAF, в то время как “предками” NC-1100 AF считаются средства обеспечения безопасности приложений и управления трафиком, а родоначальниками Big-IP — средства балансировки нагрузки. Организациям, которые хотели бы приобрести устройство WAF с интегрированными функциями балансировки нагрузки, акселерации SSL или кэширования Web-трафика, рекомендуем обратить внимание на продукты F5 Networks и NetContinuum.

Нам понравились все четыре протестированных нами устройства, тем не менее не думайте, что они могут обнаружить и ликвидировать все уязвимые места без исключения. Они нисколько не уменьшают важности тестирования на безопасность кода приложений и ни в коей мере не устраняют необходимости использовать “заплаты”. Однако эти устройства имеют потрясающие способности идентифицировать нацеленные на Web-приложения атаки и создавать правила на основе их наиболее распространенных типов. Даже несмотря на продолжающуюся интеграцию с другими сервисами, такими, как службы кэширования, ускорители загрузки Web-страниц и распределители нагрузки, именно устройства WAF, мы полагаем, станут неотъемлемой составляющей большинства корпоративных сетей. Действительно, согласно прогнозам компании Gartner, все усовершенствованные контроллеры доставки приложений будут к 2007 г. содержать функцию WAF, а к 2008 г. 80% применяющих данную технологию предприятий будут использовать комбинированные устройства WAF и Web-акселерации.

От обучения — к адаптации

Все протестированные нами МЭ поддерживают тот или иной встроенный механизм обучения. Устройства компаний Imperva и Breach Security представляют собой полностью “обучаемые”, что называется, с “чистого листа” МЭ, тогда как устройства F5 Networks и NetContinuum имеют более ограниченные способности к “обучению”. Обычно работающее в режиме обучения устройство WAF конфигурируется таким образом, чтобы проводить мониторинг атак, не осуществляя их блокирования. В зависимости от характеристик вашего трафика для перехода устройства в фазу адаптации, в которой оно обладает достаточным для динамической генерации правил объемом накопленных знаний о структуре трафика Web-сайта, может потребоваться от нескольких дней до нескольких недель. Политики основываются на типизации входных данных, характерных комбинаций трафика и, как это имеет место в случае с BreachGate, на откликах протокола HTTP. В целом, хотя все устройства WAF превосходно справлялись с “изучением” нашей тестовой среды, нам все же приходилось дополнительно настраивать политики исходя из собственных знаний о конкретных приложениях.

В соответствии с нашим сценарием мы размещали каждый МЭ WAF перед Web-серверным комплексом, где он контролировал трафик HTTP и выборочно проверял исходящие ответы на предмет безопасности содержащихся в них данных. Мы не требовали от устройств ни обязательного “умения” изучать трафик SSL, ни способности к его блокированию. Что мы надеялись в них увидеть, так это возможность блокирования распространенных векторов атак, включая манипуляции с заполнением форм, подделку файлов cookie, инъекцию SQL-кода, перехват сеансов связи, захват браузера и другие атаки на уровне приложений (более подробно о тестовой инфраструктуре см. “Как мы тестировали МЭ для Web-приложений”).

Опираясь на этот сценарий и на свой опыт в области администрирования Web-узлов, для оценки наших устройств WAF мы выработали пять основных критериев: разработка политик безопасности, управление и конфигурирование, средства генерации отчетов и устранения неисправностей, точность, цена.

С точки зрения разработки политик нам хотелось бы иметь устройство, обладающее высокой гибкостью конфигурирования и настройки политик независимо от того, способно оно к “обучению” или нет. На наш взгляд, возможность разработки политик — основополагающая характеристика любого устройства WAF. Хотя МЭ BreachGate является самым простым в настройке, самым надежным его не назовешь. Продукт SecureSphere легко одержал победу над NC-1100 AF и Big-IP благодаря наличию подробной классификации правил и детальным сигнатурам. Если говорить более конкретно, то нам понравилось разбиение политик и сигнатур SecureSphere на такие классы, как правила межсетевого экранирования, создания сигнатур и обработки нарушений протоколов. Кроме того, устройство SecureSphere исправно выдавало краткие сведения по каждой сигнатуре, информацию по атакам, подвергшимся им системам, внешним Web-ссылкам и точности обнаружения атак, включая детальные сведения по каждому ложному срабатыванию.

Менеджер политик устройства NC-1100 AF —это не что иное, как утилита разработки регулярных выражений, позволяющая создавать и редактировать политики, тогда как Big-IP предоставляет весьма полезные для конфигурирования политик встроенные программу-“ползунок” (crawler) и записывающую утилиту для браузера.

Web-администраторы, помимо того что разрабатывают политики, много времени тратят на управление и конфигурирование устройств WAF, начиная с определения административных ролей и кончая конфигурированием глобальных параметров межсетевого экранирования. Сочтя предоставляемые устройствами BreachGate и SecureSphere инструментальные средства управления и конфигурирования “интуитивными” и простыми в использовании, мы все же отдали предпочтение более надежным инструментальным средствам устройств Big-IP и NC-1100 AF. Хотя все протестированные нами продукты имеют те или иные возможности администрирования на основе ролей, у МЭ Big-IP, SecureSphere и NC-1100 AF есть еще также элементы управления Web-сервисами, такие, как опции безопасности SOAP. Однако только Big-IP и NC-1100 AF оказались способными осуществлять балансировку нагрузки и кэшировать трафик. Они предоставляют исчерпывающие возможности контроля трафика с помощью негативных регулярных выражений (negative regular expressions), позволяя блокировать подпадающие под такие выражения запросы.

Средства поиска и устранения неисправностей и генерации отчетов устройств WAF являются ключом к созданию безопасной среды с минимумом ложных срабатываний. Кроме того, средства генерации отчетов позволяют легко убедиться в достоинствах или недостатках вашего продукта, а в некоторых случаях имеют решающее значение с точки зрения гарантии соблюдения требований законодательства. В этой части протестированные нами устройства отличались друг от друга весьма заметно.

Все МЭ, кроме BreachGate, предоставляют “интуитивно” понятную контекстно-зависимую встроенную в каждое окно управляющего интерфейса помощь — исключительно важная для настройки и конфигурирования устройств WAF возможность. С помощью SecureSphere и BreachGate мы группировали все события в окне обозревателя предупреждающих сообщений, так что нам не приходилось “прокручивать” тысячи подобных сообщений на манер Windows Event Viewer. Кроме того, SecureSphere и Big-IP позволяли нам видеть пакеты запросов целиком, что весьма полезно при отслеживании возможных атак. Предоставляя столь обширный и исчерпывающий набор встроенных отчетов, продукт SecureSphere, можно сказать, “берет всю инициативу на себя”. Мы могли экспортировать все отчеты SecureSphere в форматы Crystal Reports, PDF или RTF. А вот встроенные отчеты Big-IP, напротив, были очень низкого качества, и данные журнала регистрации событий BreachGate не поддавались экспортированию в текстовые файлы (всякий раз, когда мы пытались сделать это, появлялось сообщение об ошибке), что затрудняло нам выполнение анализа.

Вместо того чтобы заниматься потенциально ненадежными тестами на производительность устройств WAF, мы с большим вниманием выполняли тесты на точность обнаружения уязвимостей. Используя ПО AppScan 6.0 компании Watchfire, мы сгенерировали около 8 тыс. направленных на каждое устройство атак и были более чем приятно удивлены: почти все наши атаки оказались заблокированными, а те, что не были остановлены, не являлись критичными. Например, продукт Watchfire “оценивает” информацию в комментариях HTML как уязвимость, в то время как ни одно из протестированных нами устройств не удаляло комментарии с Web-страниц. Мы согласны с тем, что некоторые комментарии могут представлять собой уязвимости, но считаем, что не следует надеяться на то, что устройства WAF будут выполнять обработку комментариев HTML на естественном языке. В целом благодаря своей позитивной модели безопасности устройства Big-IP и NC-1100 AF получили в категории сравнения “Точность” более высокие оценки, чем другие продукты.

И наконец, мы сравнили цены на тестируемые устройства. С этой точки зрения все устройства WAF оказались вполне конкурентоспособными: за базовую модель вам придется заплатить около 30 тыс. долл. Присланный МЭ Big-IP компании F5 Networks стоит 65 тыс. долл., однако недавно компания выпустила новое устройство, оно не содержит модуля балансировки нагрузки и не столь надежно, как протестированный нами МЭ, зато и стоит 28 тыс. долл.

Хотя в ходе тестирования у нас ни разу не возникло ни малейшего желания взять да и выкинуть какое-нибудь из устройств вон из лаборатории, титул победителя наших испытаний мы присудили МЭ SecureSphere компании Imperva. Дело в том, что мы неравнодушны к “способным к обучению” МЭ, да и, кроме того, SecureSphere имеет набор встроенных сигнатур, которые можно обновлять и модифицировать. Его четкий, простой в использовании интерфейс является интуитивно понятным и обеспечивает разработку всеобъемлющей политики информационной безопасности Web-служб. Нам также понравились специальные сигнатуры, на примере которых можно научиться читать информацию об атаках и оценивать степень их опасности.

Самым трудным в использовании устройством оказался продукт Big-IP компании F5 Networks, что объясняется его родством с системами управления трафиком. Хотя, как и NetContinuum, компания F5 реализует в своем продукте позитивную модель безопасности, процесс конфигурирования МЭ Big-IP был более простым благодаря его встроенной утилите-“ползунку”. Одной яркой особенностью продукта F5 Networks является назначение каждому заблокированному запросу специального номера отслеживания (tracking number). Такой номер весьма полезен как для администраторов, так и для конечных пользователей, поскольку и те и другие получают ссылки на заблокированный запрос, позволяющие проводить более углубленный анализ в целях выяснения причины блокирования.

В устройстве NC-1100 AF использована позитивная модель безопасности, и оно не основано на “обучении”. Хотя, возможно, некоторые фирмы оценят эту пропускающую только заведомо корректный трафик модель, мы нашли, что она требует больших затрат времени на внедрение. Мы отнюдь не призываем вас жертвовать безопасностью во имя экономии времени, но мы и не уверены, что позитивная модель повышает безопасность в большей мере, нежели модель обучения при меньших затратах времени.

Устройство BreachGate компании Breach Security имеет самый простой среди всех протестированных нами продуктов пользовательский интерфейс. Однако оно лишено некоторых “продвинутых” возможностей, таких, например, как модификация сигнатур атак, генерация детализированных отчетов и работа в нескольких режимах; все перечисленное, в частности, есть в МЭ NC-1100 AF. Хотя в отличие от своих соперников компания Breach Security на рынке устройств WAF является относительно новым игроком, она имеет все необходимое для того, чтобы стать силой, с которой придется считаться в будущем..


мерседес citan купить в столице РФ по разумной цене




  
11 '2006
СОДЕРЖАНИЕ

бизнес

• Как обуздать стресс, работая в call-центре

инфраструктура

• Защита хранящихся корпоративных данных

• SAS, или Старая песня на новый лад

• Далеко, а рукой подать

• Протоколы внутренней маршрутизации

информационные системы

• Недорогие пакеты управления настольными системами

• Wеb-конференции, которые объединяют мир

сети связи

• Усовершенствованные приемники для оборудования WCDMA

• Файлообменные сети P2P: основные принципы, протоколы, безопасность

кабельные системы

• Открытые монтажные стойки в центрах обработки данных

• Производители кабельных систем приближают беспроводное будущее

защита данных

• Межсетевые экраны для Web-приложений излечивают страх

• Тестируем межсетевые экраны для Web-приложений

новые продукты

• Универсальная радиорелейная платформа компании Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх